Il concetto di Risk Based Thinking, adottato per la prima volta con l’adeguamento allo schema “HLS” (Struttura di Alto Livello), era implicito nelle precedenti versioni della norma, ma la ISO 9001 ribadisce questo concetto sia nell’introduzione che nell’appendice informativa.
Il Risk Based Thinking (o RBT) viene tradotto come “approccio basato sul rischio” ed è utilizzato per:
– determinare potenziali non conformità (rischi);
– condurre azioni preventive;
– adottare obiettivi di miglioramento;
– determinare l’estensione delle informazioni documentate.
Nessun punto della norma, però, richiede l’introduzione di metodi formali per la gestione del rischio o un processo documentato per tale scopo; questa possibilità di libera scelta nello sviluppare una metodologia di “gestione del rischio” ha aperto un dibattito sul tipo di approccio da seguire: minimalista, per il quale si ritiene che non ci sia nulla da fare sull’argomento, o strutturato?
Digitaliso è a favore di un approccio strutturato, e per questo utilizza uno standard che definisce le linee guida e i principi generali sulla gestione del rischio.
La ISO 31000:2010 è una norma che può essere utilizzata da qualsiasi impresa, pubblica o privata, non essendo specifica per alcuna industria, settore o per specifici ambiti applicativi; la norma può essere applicata lungo l’intera vita di un’organizzazione e si adatta ad un’ampia gamma di attività, tra cui:
– strategie e decisioni;
– operazioni e processi;
– funzioni e progetti;
– prodotti, servizi e beni.
Essa può essere applicata, inoltre, a qualsiasi tipo di rischio, indipendentemente dalla sua natura e dal fatto che abbia conseguenze positive o negative (dunque rischi ed opportunità).
Il modello ISO 31000 si svolge secondo una sequenza di attività ben stabilite:
– identificazione del contesto;
– identificazione dei rischi e delle opportunità;
– analisi dei rischi e delle opportunità;
– valutazione dei rischi e delle opportunità;
– trattamento dei rischi e delle opportunità.
Ognuna di queste fasi prevede sia una struttura di Comunicazione e Consultazione che una struttura di Monitoraggio e Riesame, in modo da mantenere una connessione continua tra le parti interessate e adattare modifiche e cambiamenti di contesto.
Nella prima fase, l’organizzazione deve identificare il proprio contesto attraverso la definizione di fattori esterni ed interni rilevanti per comprendere le esigenze e le aspettative delle parti interessate.
Secondo la definizione dei quaderni dell’UNI, identificare il contesto significa identificare i requisiti rilevanti delle parti interessate, ovvero i bisogni e le aspettative più importanti per questi attori.
Durante la seconda fase, l’azienda deve mappare i rischi e le opportunità, generando una lista esaustiva di tutto ciò che può impattare sugli obiettivi aziendali riguardanti il Sistema di Gestione della Qualità. Questo lavoro di mappatura deve essere effettuato idealmente, coinvolgendo sia la direzione aziendale che il personale.
La terza e la quarta fase, rispettivamente la fase di analisi e la fase di valutazione, avvengono quasi contestualmente: questo perché analizzare significa definire la probabilità di accadimento di questi rischi o opportunità, mentre valutare significa identificare le opzioni di trattamento.
La quinta e ultima fase riguarda la decisione di come ridurre il rischio o cogliere l’opportunità attraverso la pianificazione delle azioni per affrontare gli stessi rischi e le opportunità.
La piattaforma Digitaliso utilizza il modello ISO 31000 come flusso principale di lavoro: a questo affianca una serie di passaggi intermedi per la gestione operativa, il cui passaggio più importante è l’identificazione delle finalità e degli indirizzi strategici; l’area di Setup, inoltre, agevola ogni fase grazie all’uso di voci predefinite.
Lascia un commento